Home >  ビクター ゾーラ

ビクター ゾーラ

ウクライナ国家特別通信・情報保護庁(SSSCIP)元副⻑官/元最⾼デジタル変⾰責任者(CDTO)

2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(後編)

2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(後編)

2022年のロシアによるウクライナ侵攻では、ウクライナによるサイバー防衛策によって、ロシアの攻撃を効果的に耐え抜くことができた。 主なサイバーセキュリティ対策については前回で概説した通りだ。しかし、ロシアがサイバー空間で戦略目標を達成できなかった理由はそれだけではない。何よりも、攻撃活動が大幅にエスカレートしたにもかかわらず、サイバー戦争は完全に独立した戦争領域にはなっていない。サイバー作戦は依然として認知戦や諜報活動の効果的な構成要素にとどまっている。敵のサイバー作戦の成功例(Kyivstarや法務省レジストラへの攻撃であっても)のうち、壊滅的な事態を招いたものは一つもない。ただし、多大な金銭的・評判的損害はもたらした。 私の意見では、ロシア側は物理的な打撃による心理的影響を強化したり、ウクライナ社会や当局に追加の圧力をかけたりするためにサイバー作戦を利用する計画を立てていた。同時に、サイバーツールの適用限界と有効性をテストしていた。しかし実際には、ミサイルやカミカゼ・ドローンによる攻撃の方がはるかに破壊的な効果をもたらした。 また、サイバー作戦を行うのは「人間」であることを忘れてはならない。多くの高度な技術を持つサイバー専門家が、全面戦争の開始前、あるいは開始から数ヶ月の間にロシアを離れることができた。適格な人員の不足により、侵攻前に準備されていた主要なリソースや初期アクセスを使い果たした後、敵はサイバー影響力を大幅に拡大することができなかった。最後に、彼らの作戦の有効性は、パートナー諸国、具体的には主要なソフトウェアおよびハードウェアメーカーによって課された技術制裁によって制限された。 さらに、ウクライナ国内外で発生したボランティア運動(ウクライナIT軍など)が反撃を開始した。これがロシアのサイバー専門家の注意を、ウクライナに対する攻撃の計画・実行から逸らさせることにつながった。すべての作戦には標的の選定、計画、ツールの探索、実行に時間が必要であり、それには資金、人員、技術が必要であることを忘れてはならない。ロシアにとってエクスプロイト市場がほぼ閉鎖されており、自らツールを開発する必要があることを考えれば、これは特に当てはまる。 ウクライナのサイバーセキュリティにおいて強調されるべき欠点としては、主に以下の通りだ: ・担当機関間の不十分な連携 ・民間セクターから治安機関や国家規制当局に対する強い不信感。その結果、サイバーインシデントの原因や規模が隠蔽される事態を招いた ・サイバー意識の低さ、組織指導部による優先順位の低さ、公的セクターにおけるIT専門家のスキルの低さ ・脅威の状況に合わせてサイバー保護レベルを引き上げるための法的・規制的な変更の導入の遅れ。時に、これらの取り組みは直接的な抵抗やサボタージュに直面した ウクライナ同様、ロシアは日本にとって隣国であり、北方領土をめぐる領土問題もある。最近では日本の選挙へのロシアの介入を示唆する報告もあるが、ロシアの影響力工作とはどんなものか。 民主主義を破壊し弱体化させるというロシアの戦略は、ほとんどの場合、選挙に影響を与えようとする試みとして現れる。我々はこれを、2014年のウクライナ、2016年の米国とブルガリア、2017年のフランス、そして2024年のモルドバで目撃してきた。 特定の悪意のあるグループに関連する詳細なTTPs(戦術・技術・手順)は、ウクライナのサイバー対応機関CERT-UAによって収集・分析されている。協力覚書に基づき、これらは日本のカウンターパートと共有することが可能だ。 同時に、ロシアの影響力工作の特徴的な要素として、ソーシャルネットワーク(特にMeta、X、TikTok)におけるボットファームの活動が挙げられる。これらの活動の目的は、過激な勢力や親ロシア派の政党・候補者の人気を高め、伝統的な穏健勢力の信用を失墜させることにある。 諜報に特化したサイバー作戦を専門とするロシア系サイバー攻撃グループAPT29のような組織は、通常、選挙においては主要な立候補者の本部や情報リソースを標的にする。2016年の民主党全国委員会(DNC)への攻撃で見られたように、通信内容が特に強い関心の対象となる。 選挙プロセスにおけるロシアの介入の古典的な形には、政党や選挙管理委員会のウェブサイトに対する大規模なDDoS攻撃も含まれる。 こうした攻撃には、ロシア政府はどれくらい関与しているのだろうか。 インテリジェンスのデータからも裏付けられているが、ロシアの治安機関や法執行機関がロシアのサイバー犯罪者の大多数を認識していることに疑いの余地はない。ロシアはインターネットユーザーのほぼ完全な身元特定や、多くの外部リソース・サービスに対する技術的なブロッキングを実施しており、犯罪者の世界には常に当局に協力する個人が存在する。 したがって、矯正施設の外でサイバー犯罪グループが活動・存続できるのは、それらが公的当局と協力している場合に限られる。これは、サイバー犯罪者がクレムリンや治安機関の管理下で作戦に参加すること、あるいはロシア国外(特に先進国)での犯罪を黙認されることの両方の形で現れる。その目的は、金銭的な利益を生み出し、それを犯罪者と治安・法執行機関の代表者の間で分配することにある。

2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(前編)

2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃(前編)

ロシアによる侵攻の初期段階において、ウクライナに対して大規模なサイバー攻撃が仕掛けられた。 私はすべての攻撃を、その目的に応じて主に3つのグループに分類する。偽情報や認知への影響を目的とした攻撃、サイバー諜報活動、そして破壊的なサイバー攻撃だ。これらとは別に、通常はサイバー攻撃に分類されないが、その使用がサイバー・レジリエンスに直接的な害を及ぼすDDoS攻撃についても特筆したい。これらすべての種類の攻撃は2014年から観測されている。同時に、攻撃の強度は全面侵攻の日以来、ほぼ3倍に増加しており、現在は2022年以前の時期よりも著しく高いレベルにとどまっている。 サイバー攻撃はしばしば組み合わされ、一度に複数の目的を追求する。例えば、2022年1月14日に発生した政府ウェブサイトへの攻撃がその一例だ。サプライチェーン攻撃の結果、攻撃者は政府機関の特定の内部インフラへのアクセス権を獲得し、ウェブサイトを改ざんするだけでなく、内部データベースを消去することも可能にした。同時に、ウェブサイトの改ざんには、国家の個人データ保護能力に対する国民の不信感を植え付けるだけでなく、隣国に罪をなすりつけることを目的とした、挑発的な「偽旗」メッセージの投稿も含まれていた。これに伴い、内部レジストラの一部のデータは、その後のワイパー・マルウェアなどによってデータが削除される前に、流出したことがほぼ確実視されている。このように、この複合的な攻撃は、一面では特殊な情報心理作戦の性格を持ち、他面では機密データの窃取、さらには情報インフラや公共の電子サービスの破壊を目的としていた。 2022年2月15日に発生した、銀行のウェブサイトや決済サービスに対する前例のない強力なDDoS攻撃も、混乱を招き、ウクライナの銀行システムの回復力を損なうことを目的としていた。 全体として、全面侵攻の開始以来、最も大きな被害をもたらしたサイバー攻撃として以下の種類を挙げることができる: フィッシング(メールおよびメッセージングアプリの両方経由)目的:マルウェアの拡散、またはアカウントの窃取。多くの場合、最初の攻撃ベクターとして使用される。主な主体:UAC-0010 (Gamaredon)、UAC-0056主な標的:公務員、軍関係者 マルウェア目的:情報システムへのリモートアクセスの取得、機密情報の窃取、データおよびインフラの破壊ワイパー・マルウェアの種類:WhisperGate, AcidRain, IsaacWiper, HermeticWizard, CaddyWiper, Industroyer2バックドアの種類:Smokeloader, Agent Tesla, Remcos 破壊的攻撃(サプライチェーン攻撃を含む)主な主体:UAC-0002 (Sandworm)、UAC-0028 (APT28)、UAC-0056事例:2022年1月14日の政府ウェブサイトへの攻撃、2024年2月24日のViasat(衛星通信サービス)攻撃、2022年4月8日および10月10日の地方電力会社への攻撃、2023年12月12日のKyivstar(通信事業者)への攻撃、2024年1月25日に起きた主要データセンターParkovyiへの攻撃、2024年12月19日の法務省レジストラへの攻撃、2025年3月23日のUkrzaliznytsia(ウクライナ鉄道)への攻撃 公開されているサービスにおける脆弱性の悪用主な主体:UAC-0028 (APT28)事例:Microsoft Outlookへの攻撃 (CVE-2023-23397) DDoS攻撃主な主体:KillNet, Cyber Army of Russia Reborn, NoName(057)ロシアによる物理的な攻撃(通信や電力)によるインフラ破壊も、ITサービスの停止をしばしば引き起こしている点は注目に値する。 対抗策に関しては、全面侵攻が始まる前から、政府機関は重要インフラ企業(特にエネルギー分野)とともに、施設におけるサイバーセキュリティの監視を強化し、サイバーインシデントに関する情報共有を改善し、24時間体制の人員配置を導入した。 1月14日のサイバー攻撃後、省庁横断的なサイバーインシデント対応ワーキンググループが設置され、後に2025年3月27日付の法律(第4336-IX号)に反映される法改正が提案された。これには以下が含まれる:・政府機関および重要情報インフラ施設におけるサイバーセキュリティ責任者ポストの導入・政府機関および重要情報インフラ施設におけるサイバーセキュリティ要件の未達成に対する職員の責任強化・政府機関と協力する請負業者組織に対するサイバーセキュリティ要件の賦課権限の付与(サプライチェーンの強化)・政府機関および重要インフラ主体に対し、重大な脆弱性の修正とその後の報告を要求する権限の付与、およびこれらの要件の違反または不遵守に対する責任の確立・サイバー予備役の創設 情報通信システムにおける潜在的な脆弱性の探索と特定も正式化され、サイバー空間における侵略への能動的な対抗センターが設立された。 また、国際的なパートナーとの協力を含め、いくつかの重要な技術的措置が実施された:・データ、インフラ、バックアップの海外クラウド環境への移転が正式化され、実施された・全面侵攻の開始から数ヶ月間、いくつかのオンラインサービスや国家レジストラがオフラインにされた・帯域幅の容量が拡張され、数百の政府ウェブリソースに無料のDDoS攻撃保護が提供された・重要情報インフラのセキュリティ評価が数百回実施された・数千のEDRエージェントと数十のテレメトリセンサーが配備された・国家サイバーレンジ(訓練場)が完全に稼働し、管理者や公務員向けに100以上のトレーニングコースが実施された。サイバーハイジーンとデジタルリテラシーの啓発が強化された・国家SOCの機能が拡張され、いくつかの部門別および地域別SOCが稼働した・複数のサイバー脅威分析プラットフォームが導入され、世界の主要プロバイダー、政府組織、重要インフラ企業との協力およびCTI(脅威インテリジェンス)交換が改善された・クラウド・サイバーサービス・プラットフォームが開始された・政府機関向けの安全なインターネットアクセスシステムが近代化された・安全なDNSのパイロットプロジェクトが開始された・国家情報リソースバックアップセンターが稼働した・いくつかの重要な国家情報システムに対して多要素認証プロジェクトが実施された・国家電子レジストラをホストするための統一された安全なプラットフォームが構築された・モバイル対応チームの設置などを通じてCERT-UAの能力が強化された・すべての電子通信プロバイダーの運用が、ウクライナ電子通信ネットワーク運用技術管理国家センターに従属させられた。

page top